Se ha revelado una falla de seguridad crítica en el demonio telnet de GNU InetUtils (telnetd) que pasó desapercibida durante casi 11 años.
La vulnerabilidad, rastreada como CVE-2026-24061tiene una calificación de 9,8 sobre 10,0 en el sistema de puntuación CVSS. Afecta a todas las versiones de GNU InetUtils desde la versión 1.9.3 hasta la versión 2.7 inclusive.
«Telnetd en GNU Inetutils hasta 2.7 permite omitir la autenticación remota a través de un valor ‘-f root’ para la variable de entorno USER», según una descripción de la falla en la Base de Datos Nacional de Vulnerabilidad (NVD) del NIST.
En una publicación en la lista de correo de oss-security, el colaborador de GNU, Simon Josefsson, dijo que la vulnerabilidad se puede explotar para obtener acceso raíz a un sistema de destino.
El servidor telnetd invoca /usr/bin/login (normalmente ejecutándose como root) pasando el valor de la variable de entorno USER recibida del cliente como último parámetro.
Si el cliente proporciona (sic) un valor de entorno de USUARIO cuidadosamente elaborado que es la cadena «-f root» y pasa el parámetro telnet(1) -a o –login para enviar este entorno de USUARIO al servidor, el cliente iniciará sesión automáticamente como root sin pasar por los procesos de autenticación normales.
Esto sucede porque el servidor telnetd (sic) no desinfecta la variable de entorno USER antes de pasarla a login(1), y login(1) usa el parámetro -f para evitar la autenticación normal.
Josefsson también señaló que la vulnerabilidad se introdujo como parte de una confirmación del código fuente realizada el 19 de marzo de 2015, que finalmente llegó a la versión 1.9.3 el 12 de mayo de 2015. Al investigador de seguridad Kyu Neushwaistein (también conocido como Carlos Cortés Álvarez) se le atribuye el descubrimiento y el informe de la falla el 19 de enero de 2026.
Como mitigación, se recomienda aplicar los parches más recientes y restringir el acceso a la red al puerto telnet a clientes confiables. Como solución temporal, los usuarios pueden desactivar el servidor telnetd o hacer que InetUtils telnetd utilice una herramienta de inicio de sesión personalizada(1) que no permita el uso del parámetro ‘-f’, añadió Josefsson.
Los datos recopilados por la firma de inteligencia de amenazas GreyNoise muestran que se han observado 21 direcciones IP únicas intentando ejecutar un ataque de elusión de autenticación remota aprovechando la falla durante las últimas 24 horas. Todas las direcciones IP, que se originan en Hong Kong, EE. UU., Japón, Países Bajos, China, Alemania, Singapur y Tailandia, han sido marcadas como maliciosas.